ブログ

  • TOP
  • 全ての記事
  • ZTNAを実現する重要な技術、SDP(Software-Defined Perimeter)とは
catch-img

ZTNAを実現する重要な技術、SDP(Software-Defined Perimeter)とは

SDP ZTNAAppgate SDP


目次[非表示]

  1. 1.SDP(Software-Defined Perimeter)
  2. 2.SPA(Single Packet Authorization)
  3. 3.コントロールプレーンとデータプレーンの分離
  4. 4.おわりに

SDP(Software-Defined Perimeter)

SDP(Software-Defined Perimeter)は、ネットワークセキュリティのアプローチで、特定のユーザーやデバイスに対して制御されたアクセス権を与えることで、ネットワーク上のリソースへの接続を保護します。

SDPは、SPA(Single Packet Authorization)をサポートし、ネットワークセキュリティを強化します。SPAにより、単一のパケットを使用してユーザーのアクセスを許可することで、不正なアクセスを防止します。

また、SDPはコントロールプレーンとデータプレーンを分離します。コントロールプレーンは、ユーザーの信頼性の確立や認証、認可などのセキュリティポリシーの管理を担当します。データプレーンはアクセス制御を担当します。この分離により、セキュリティの強化と柔軟性が実現されます。コントロールプレーンはアイデンティティ認証や認可を行い、データプレーンはアクセス許可されたトラフィックのみを通過させるため、攻撃者による不正アクセスを防ぐことができます。

これらの特徴により、SDPはセキュリティを強化し、より効果的なアクセス制御を実現します。ユーザーは安全にリソースにアクセスでき、ネットワークのセキュリティリスクが低減されます。

従ってSDPはネットワークセキュリティを強化する有効なアプローチの1つです。当社で取り扱うAppgate SDPは、SDPによりユーザーの認証やアクセス制御などの機能を提供し、セキュリティを強化します。また、柔軟性と拡張性も備えており、さまざまな環境やネットワークトポロジーに対応します。

SPA(Single Packet Authorization)

SPA(Single Packet Authorization)は、ネットワークセキュリティの技術であり、単一のパケットを使用してユーザーのアクセスを許可する認証機構です。通常、ユーザーはユーザー名とパスワードを入力して認証を行いますが、SPAでは、事前に設定されたセッションパスワードをシステムに送信することでアクセスを許可します。

当社で取り扱うAppgate SDPはSPAをサポートしたセキュリティ製品です。Appgate SDPのSPAは2つのモードで動作します。

A)     TCP(443)モード(デフォルト)

①クライアントがTCP443にTCP SYNを送信します。
②SDPはTCP SYN ACKで応答します。
③クライアントがTCP ACKを送信してTCPセッションは確立しますがTLSは未確立です。
④クライアントがTLS Client HelloにSPAパケットを付与して送信します。
⑤SPAパケットが正しければ、SDPはTLSトラフィックを受け入れます。SPAパケットが含まれない場合は無視します。

TCPモードの特徴はSPAパケットが来るまでTLSを確立できないため、TLSの脆弱性に対する攻撃に耐性があります。

B)     UDP-TCP(443)モード

①クライアントがUDP53/UDP443にSPAパケットを付与して送信します。
②SPAパケットが正しければ、Appgate SDPはクライアントに対してTCP443を開きます。SPAパケットが含まれない場合は無視します。
③クライアントがTCP443にTCP SYNを送信します。
④SDPはTCP SYN ACKで応答します。
⑤クライアントがTCP ACKを送信してTCPセッションは確立しますがTLSは未確立です。
⑥クライアントがTLS Client HelloにSPAパケットを付与して送信します。
⑦SPAパケットが正しければ、SDPはTLSトラフィックを受け入れます。SPAパケットが含まれない場合は無視します。

UDP-TCPモードの特徴はSPAパケットが来るまでTCPポートが開かれないため、DDoS攻撃に耐性があります。

コントロールプレーンとデータプレーンの分離

SDPはコントロールプレーンとデータプレーンを分離します。コントロールプレーンはセキュリティポリシーの管理を担当し、データプレーンはアクセス制御を行います。この分離により、セキュリティを強化し、柔軟性を実現します。コントロールプレーンは認証や認可を行い、データプレーンは許可されたトラフィックのみを通過させるので、不正アクセスを防ぎます。

Appgate SDPはコントロールプレーンとデータプレーンの分離をサポートしたセキュリティ製品です。Appgate SDPはコントロールプレーンの制御を担当するコントローラとデータプレーンの制御を担当するゲートウェイで構成されます。

図:Appgate SDPのコントロールプレーンとデータプレーンの分離

おわりに

SDPはZTNA(ゼロトラストネットワークアクセス)を実現する重要な技術の一つです。Appgate SDPはSDPを提供するセキュリティ製品であり、従来のネットワークセキュリティモデルに比べてより効果的かつ柔軟なセキュリティを提供します。Appgate SDPの導入を検討することで、セキュリティの強化やアクセス制御の柔軟性向上が期待できます。

是非、Appgate SDPをご検討ください。

Appgate SDPが選ばれる4つの理由はこちら
https://www.techmatrix.co.jp/product/appgate/chosen.html

前の記事

prev-article-image

F5 XC WAAPのアドバンストなWAF機能紹介(Part.3 GraphQL Inspection)

次の記事

next-article-image

ゼロトラスト型セキュアリモートアクセス 「Dispel Secure Remote Access」のご紹介

CONTACT

ITインフラに関してお悩みの方は
お気軽にご相談ください

ご不明な点はお気軽に
お問い合わせください。
お問い合わせ
ITインフラに関するお役立ち資料は
こちらよりダウンロードできます。
資料ダウンロード

人気記事ランキング

タグ一覧

TechMatrix
セキュリティポリシー
ページトップへ

© techmatrix.,Inc. All Rights Reserved.